js同源策略之共享cookie

最新推荐文章于 2025-06-13 18:00:15 发布
最新推荐文章于 2025-06-13 18:00:15 发布
阅读量985 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: javascript ViewUI
原文链接:https://segmentfault.com/a/1190000005987511
本文解释了同源策略的概念,探讨了其存在的必要性,并通过示例介绍了如何利用document.domain属性来实现不同网页间的Cookie共享。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是同源

同domain(或ip),同端口,同协议视为同一个域,一个域内的脚本仅仅具有本域内的权限,可以理解为本域脚本只能读写本域内的资源,而无法访问其它域的资源。这种安全限制称为同源策略。

为什么要有同源限制

同源策略的目的主要是为了防止恶意获取/修改网站数据。而这些数据主要包括cookie,LocalStorage,DOM,以及发送的AJAX请求。
假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值。恩,你现在打开了浏览器,在一 个tab窗口中打开了银行网站,在另外一个tab窗口中打开了一个恶意网站,而那个恶意网站挂了一个的专门修改银行信息的JavaScript,当你访问 这个恶意网站并且执行它JavaScript时,你的银行页面就会被这个JavaScript修改,后果会非常严重!而同源策略就为了防止这种事情发生。
所以,我们可以知道,同源策略是必须的,但是,有的时候我们还是要规避同源策略的限制,比如说从A网站跳到B网站时,我们要读到A网站的cookie。

document.domain

document.domain属性用来得到当前网页的域名。
我们也可以给document.domain属性赋值,不过是有限制的,你只能赋成当前的域名或者基础域名。
比如:你当前域名是qa-my.test.segmentgault.com
那么你就可以设置

document.domain = ".test.segmentgault.com"

或者

document.domain = "qa-my.test.segmentgault.com"

上面的赋值都是成功的,因为qa-my.test.segmentgault.com是当前的域名,而.test.segmentgault.com是基础域名。
但是下面的赋值就会出来"参数无效"的错误:

document.domain = "google.com"

clipboard.png

因为google.com即不是当前的域名也不是当前域名的基础域名,所以会有错误出现。
这是为了防止有人恶意修改document.domain来实现跨域偷取数据。

利用document.domain 实现共享cookie

Cookie 是服务器写入浏览器的一小段信息,只有同源的网页才能共享。浏览器允许基础域名相同的网站间通过设置document.domain共享 Cookie。
举例来说,A网页是

http://my.segmentfault.com/a.html

B网页是

http://he.segmentfault.com/b.html

那么只要设置相同的document.domain,两个网页就可以共享Cookie。

document.domain = 'segmentfault.com'

现在,A网页通过脚本设置一个 Cookie

document.cookie = "domainTest=hello world"

B网页就可以读到这个Cookie

漫谈同源策略(SOP)和跨域资源共享(CORS)
IerkeU的博客
04-22 4454
漫谈.....
同源策略与跨域
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
cookie-sync-simulation
05-05
Cookie同步模拟 这是模拟,以了解我们如何使用JavaScript创建跨域Cookie同步 Cookie同步流程 脚步 显示sandbox-2网页 使用网络浏览器访问sandbox-2网页 在沙盒2上从nginx获取html和javascript 在网络浏览器上运行JavaScript 发出沙盒2域Cookie 在5秒钟内重定向到sandbox-1网页 显示sandbox-1网页在沙盒1上从nginx获取html和javascript 在网络浏览器上运行JavaScript 访问sandbox-2 nodejs脚本 获取沙盒2域Cookie 发出沙盒1域CookieCookie信息插入网页,并在Web浏览器上显示跨域Cookie同步信息 设置本地PC(Mac) 采取以下步骤 所需工具 吉特 流浪汉 使用Vagrantfile准备虚拟机 # check tools g
JavaScript(Ajax)和Cookie同源策略
云计算?
01-20 164
一个URL由四部分组成,拿http://blog.youkuaiyun.com/yanical来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价于http://blog.youkuaiyun.com:80/yanical) 协议:http 主机:blog.youkuaiyun.com 端口:80 路径:/yanical 所谓的同源就是要求这个URL的协议,主机,端口三...
JavaScript 中实现跨子域 Cookie 共享的方法
最新发布
qq_47456365的博客
06-13 267
本文介绍了如何通过JavaScript实现跨子域的Cookie共享。关键点包括:设置Cookie时必须指定主域名(如.example.com),添加Secure和SameSite属性;所有子域可通过document.cookie读取共享Cookie;需要注意HttpOnly限制、HTTPS要求、浏览器隐私策略及Cookie大小限制。文末提供了一个完整示例,展示用户登录后在子域间自动共享会话状态的实现方法。
同源策略以及cookie安全策略
浮白
04-18 9468
1、引言       跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误
共享js设置cookie的代码
qiaoyuetian博客访谈
10-23 794
目的:一静态页要在用户登录和没登录的不同状态显示不同信息. 实现方法肯定是用js了.写了一jscookie 的方法getCookie(name) 通过" var u = getCookie(name); if (u) {     x.innerHTML = u; } else { } 方法实现一些信息不同显示 x.innerHTML = u; 目的就是在一处显示u这个cookie得到的信息,
js实现一二级域名共享cookie
cypking的博客
02-17 619
前言 最近接手的项目中 ,有人反馈了一个问题,说是在访问网站并登录后,登录成功有登录信息,但是刷新页面后重定向到了登录页面,让从新登录。 打开 goole 调试页面,查看 cookie 时发现存储的相关 token 信息不见了。 原本以为 cookie 有效期有问题,但经过排查 cookie 失效为 7 天,也没有清除 cookie 的逻辑。 经排查发现:我们在输入访问 hew.cn 的时候,...
JavaScript同源策略和跨域访问实例详解
10-18
JavaScript同源策略和跨域访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
同源策略以及CORS跨域资源共享
Allurewuhui的博客
03-28 1643
一;同源策略: 1.同源是一种安全机制,为了预防某些恶意行为(例如 Cookie 窃取等),浏览器限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 2.满足同源要具备三方面:协议相同、域名相同、端口相同。 3.只要以上三点有一点不满足,就会产生跨域,解决跨域常见的方法:JSONP,CORS。 二;什么是CORS: 1.CORS (Cross-Origin Resource Sharing,跨域资源共享)由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器是否阻止前端
Cookie共享
龚道松
12-10 2725
门户系统整合sso 在门户系统点击登录连接跳转到登录页面。登录成功后,跳转到门户系统的首页,在门户系统中需要从cookie中 把token取出来。所以必须在登录成功后把token写入cookie。并且cookie的值必须在系统之间能共享。   Cookie共享: 1、Domain:必须是相同的。 例如有多个域名: www.taotao.com Sso.taotao.com Search...
Cookie的同源政策与跨越资源共享CORS
qq_40265247的博客
06-23 820
Cookie具有不可跨域名性 Cookie依然遵循同源政策,只有用服务器域名设置Cookie才会上传,其他域名的Cookie并不会上传。Google与Baidu的域名不一样,因此域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。 domain属性决定运行访问Cookie的域名,而path属性决定允许访问Cookie的路径 Cookie cookie = new Cookie("time","20080808"); // 新建Cookie cookie.set
项目之间Cookie共享
喵哥的博客
03-31 1万+
对于某些大型项目的开发,可能会将一个项目拆分成若干个子项目进行开发,但是项目之间的某些页面之间通过某些入口是可以相互跳转的,因此,对于有些会话的状态也是需要共享的,例如国际化,子系统A在切换语言环境后跳转到子系统B,用户第一次进入B系统页面时的语言环境应该是和跳转前A系统是一致的,一般开发过程中,将语言信息存储到Cookie或者Session乃至第三方缓存中,如Redis,今天就谈如何实现项目之间Cookie共享
copy一篇文章,主要看看 cookie 的 path 和 domain
weixin_30814319的博客
02-02 421
Copy 过来的,转载,放在这里作为自己的一个收藏吧:)什么是Cookies?你会问,什么是cookies呢? cookie 是浏览器保存在用户计算机上的少量数据。它与特定的WEB页或WEB站点关联起来,自动地在WEB浏览器和WEB服务器之间传递。比如,如果你运行的是Windows操作系统,使用Internet Explorer上网,那么你会发现在你的“Windows”目录下面有一个子目...
子站间 携带cookie_JavaScript cookie 不同子域名之间共享
weixin_39859909的博客
12-22 958
js 设置 cookie的时候,默认会存放在当前域名下,如果想要在子域名之间共享,如a.example.com下设置cookie, 在b.example.com下使用,需要如下设置:var Cookie ={set: function(name, value, days){var domain, domainParts, date, expires, host;if (days){date = n...
Cookie是在所有同源窗口中共享的,是否共享
qq_25416827的博客
04-23 672
当浏览器与服务器进行交互时,满足同源策略(SameSite)的Cookie会被自动附加到请求中,这意味着同一个域名下的多个页面可以共享这些Cookie数据。:Cookie可以设置为会话Cookie(浏览器关闭后失效)或持久性Cookie设置了有效时间,即使浏览器关闭也会保留在硬盘上)。这意味着如果两个窗口或标签页属于同一源(相同的协议、主机和端口),它们将能够访问和共享相同的Cookie。如果一个页面产生的Cookie被限定在特定路径下,那么只有同一目录下或子目录下的页面才能访问这个Cookie
跨域共享cookie
Terry - 专注外贸B2C
11-26 641
跨域共享cookie的原理是通过一个图片加载php文件的方法 1.var expires_date = new Date( today.getTime() + (expires) ); domain_arr = ['mfancy.com','www.mfancy.it','www.mfancy.de','www.mfancy.es','www.mfancy.fr']; this_expi
java 同步cookie_用chrome插件实现cookie同步到服务器
weixin_30550287的博客
02-13 797
场景描述做过爬虫或者机器人的朋友一定会遇到登陆的问题:大多数的网站需要登陆之后才能读取内容或者执行操作。要实现网站的自动化登陆和操作,大概的方法有两种:1,通过Chrome无头浏览器-selenium等工具模拟登陆,然后通过控制selenium实现和网站的交互操作;2,将包含已登陆信息的cookie设置到HTTP请求当中,直接通过HTTP request进行交互;这两种方法各自适用不同的场景,互相...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值